Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada

Table des matières

Introduction
Cadre de gestion des risques de fraude au Bureau du vérificateur général du Canada
1. Gouvernance à l’égard des risques de fraude
2. Évaluation des risques de fraude
- 2.1 Mener une évaluation des risques de fraude en intégrant des pratiques exemplaires
3. Contrôles de prévention et de détection de la fraude
- 3.1 Prévention de la fraude
- 3.2 Détection de la fraude
  - 3.2.1 Mécanisme pour signaler de la fraude
  - 3.2.2 Contrôles conçus pour détecter les activités frauduleuses
4. Enquêtes sur les allégations de fraude
- 4.1 Mécanisme pour signaler de la fraude
- 4.2 Approche formelle pour traiter les allégations de fraude
5. Amélioration continue du Cadre de gestion des risques de fraude
Outils de gestion des risques de fraude

Introduction

Aucune organisation n’est à l’abri de la fraude. Dans les organisations fédérales, la fraude peut entraîner une perte de fonds ou de biens publics, saper le moral des employés et miner la confiance de la population canadienne envers les services publics. Les organisations fédérales doivent donc gérer les risques de fraude qui les menacent.

La gestion proactive du risque de fraude est l’une des meilleures approches qu’une organisation peut adopter pour atténuer son exposition aux activités frauduleuses. Même s’il n’est probablement pas possible ni rentable d’éradiquer tous les risques de fraude, les organisations peuvent prendre des mesures proactives et constructives pour réduire leur exposition. Il est possible d’atténuer considérablement les risques de fraude en se dotant d’une structure de gouvernance efficace contre la fraude; en menant une évaluation des risques de fraude rigoureuse; en se dotant de mesures solides de prévention et de détection de la fraude; en menant des enquêtes coordonnées en temps opportun; et en prenant des mesures correctives.

Le Bureau du vérificateur général du Canada (BVG) a défini un Cadre de gestion des risques de fraude complet qui s’inspire du guide Managing the Business Risk of Fraud: A Practical Guide (disponible en anglais seulement), publié par l’Institute of Internal Auditors, l’American Institute of Certified Public Accountants et l’Association of Certified Fraud Examiners. Ce Cadre aide le BVG à adopter des pratiques exemplaires en vue d’identifier, de contrer et de gérer les risques de fraude.

Le présent Guide précise comment les différentes composantes et les divers acteurs clés contribuent, directement ou indirectement, à la gestion des risques de fraude au BVG. Les annexes renferment des informations complémentaires à ce sujet, notamment sur les rôles et responsabilités (voir l’Annexe A).

Cadre de gestion des risques de fraude au Bureau du vérificateur général du Canada

Gestion des risques de fraude interne et externe au BVG

Version textuelle

Ce tableau donne un aperçu du Cadre de gestion des risques de fraude au Bureau du vérificateur général du Canada. Il montre comment le Bureau gère les risques de fraude interne et externe.

Le tableau définit le risque de fraude et la fraude et en donne des exemples. Le risque de fraude représente le risque que divers types de fraude de sources internes ou externes auxquels une organisation est exposée. La fraude est un acte intentionnel commis par une ou plusieurs personnes parmi les employés, les membres de la direction et les responsables de la gouvernance (interne), ou des tiers (externe) impliquant le recours à des manœuvres trompeuses dans le but d’obtenir un avantage indu ou illégal. Il y a trois grandes catégories de fraude interne : la corruption, le détournement d’actifs et les états financiers mensongers. Voici des exemples de fraude :

Un employé abuse de son influence lors d’opérations pour en tirer profit (interne).
Des fournisseurs facturent des biens/des services qui n’ont pas été reçus (externe).
Des employés acceptent des pots-de-vin ou des avantages pour agir (interne).
Des employés communiquent des renseignements sensibles à des tiers externes pour leur enrichissement personnel (interne).

Les définitions et les exemples servent d’introduction au Cadre de gestion des risques de fraude du Bureau, dont les quatre parties sont ensuite présentées.

La première partie du cadre porte sur la gouvernance à l’égard des risques de fraude, laquelle suppose la mise en place d’une structure qui indique que la fraude n’est pas tolérée. Cette partie contient les sections suivantes :

1.1 : Surveillance
1.2 : Spécialiste interne en valeurs et éthique
1.3 : Code de valeurs et d’éthique
1.4 : Directives sur les conflits d’intérêts et l’après-mandat
1.5 : Plan d’audit interne fondé sur les risques
1.6 : Processus d’enquête sur les allégations de fraude
1.7 : Politique de prévention de la fraude

La deuxième partie porte sur l’évaluation des risques de fraude, qui consiste à identifier et à contrer les vulnérabilités à la fraude interne et externe. Cette partie contient les sections suivantes :

2.1 : Mener une évaluation des risques de fraude en intégrant les pratiques exemplaires
2.1.1 : Identifier les risques de fraude sans tenir compte des contrôles (à savoir le risque inhérent)
2.1.2 : Évaluer la probabilité et l’impact des risques de fraude identifiés
2.1.3 : Mettre en correspondance les contrôles qui atténuent les risques identifiés (prévention/détection)
2.1.4 : Évaluer si les contrôles fonctionnent efficacement
2.1.5 : Évaluer les risques de fraude résiduels
2.1.6 : Selon le seuil de tolérance aux risques, répondre aux risques de fraude résiduels
2.1.7 : Examiner périodiquement l’évaluation des risques de fraude

La troisième partie porte sur les contrôles de prévention et de détection de la fraude, qui englobent la conception et la mise en œuvre de processus, de procédures et d’activités visant à contrer les risques de fraude identifiés. Cette partie contient les sections suivantes :

3.1 : Prévention de la fraude
3.1.1 : Une formation sur les valeurs, l’éthique et les conflits d’intérêts et une formation ciblée sur la fraude dispensées à temps
3.1.2 : Conflit d’intérêts : Atténuation des conflits d’intérêts
3.1.2.1 : Gestion efficace des déclarations de conflits d’intérêts
3.1.2.2 : Déclarations effectuées par les employés, qu’ils aient ou non un conflit d’intérêts
3.1.2.3 : Normes de service pour donner suite aux conflits d’intérêts déclarés
3.1.2.4 : Rapports
3.1.3 : Contrôles conçus pour prévenir les activités frauduleuses
3.2 : Détection de la fraude
3.2.1 : Mécanisme pour signaler de la fraude (voir la partie 4.1)
3.2.2 : Contrôles conçus pour détecter les activités frauduleuses

La quatrième partie traite des enquêtes sur les allégations de fraude, lesquelles exigent une approche rigoureuse de gestion des allégations de fraude et des enquêtes. Cette partie contient les sections suivantes :

4.1 : Mécanisme pour signaler de la fraude
4.2 : Approche formelle pour traiter les allégations de fraude
4.2.1 : Évaluation des allégations de fraude
4.2.2 : Enquête sur les allégations de fraude
4.2.3 : Surveillance des allégations de fraude
4.2.4 : Mesures correctives
4.2.5 : Rapport sur les allégations de fraude

Ces quatre parties sont liées à la cinquième et dernière partie du Cadre, qui porte sur l’amélioration continue du Cadre de gestion des risques de fraude.

1. Gouvernance à l’égard des risques de fraude

La structure de gouvernance de la gestion des risques de fraude du Bureau du vérificateur général du Canada (BVG) est un des piliers de son Cadre de gestion des risques de fraude. Grâce aux sept éléments décrits ci-après, elle donne le message que la fraude n’est pas tolérée.

1.1 Surveillance

Le Conseil de direction participe aux aspects clés de la gestion des risques de fraude, notamment à la détermination du seuil de tolérance du BVG à l’égard des risques de fraude et aux discussions sur les risques de fraude et l’évaluation connexe dans le cadre de l’Évaluation annuelle des risques de fraude (voir la partie 2). Le Conseil de direction reçoit aussi les principaux rapports annuels ci-après :

Rapport sur les valeurs et l’éthique (partie 1.2)
Rapport sur l’évaluation des risques de fraude (partie 2.1)
Rapport sur la formation obligatoire (partie 3.1.1)
Rapport sur les allégations de fraude (partie 4.2.5)
Rapport sur le caractère adéquat et l’application du Cadre de gestion des risques de fraude (partie 5)

Le BVG possède un comité d’audit indépendant. Celui-ci joue un rôle dynamique de surveillance du Cadre de gestion des risques de fraude au BVG, notamment des valeurs et de l’éthique; des conflits d’intérêts; de l’évaluation des risques de fraude et des contrôles connexes; des allégations de fraude; et des enquêtes. Le Comité d’audit reçoit des comptes rendus et des rapports sur les sujets couverts dans les rapports ci-dessus qui sont présentés au Conseil de direction.

La Charte du Comité d’audit reflète les responsabilités du Comité d’audit à l’égard de la gestion des risques.

1.2 Spécialiste interne en valeurs et éthique

Le spécialiste interne en valeurs et éthique du BVG est chargé de répondre aux questions des employés sur les valeurs, l’éthique et les conflits d’intérêts. Il reçoit et traite les rapports d’exception lorsque des menaces à l’indépendance et à l’objectivité ont été identifiées dans un formulaire de confirmation de l’indépendance pour un audit donné et examine toutes les questions signalées dans le cadre du processus annuel de déclaration confidentielle. Tous les ans, le spécialiste interne en valeurs et éthique présente un rapport au Conseil de direction et au Comité d’audit.

La partie 3.1.2 du présent Guide donne des précisions sur les mesures d’atténuation des risques de conflit d’intérêts.

1.3 Code de valeurs et d’éthique

Le BVG dispose de son propre Code de valeurs, d’éthique et de conduite professionnelle. Celui-ci définit les attentes à l’égard des valeurs, de l’éthique et des conflits d’intérêts ainsi que la conduite professionnelle des employés, des experts-conseils et des entrepreneurs. Toutes les personnes qui travaillent au Bureau ou qui exécutent des travaux en son nom doivent respecter ce code ainsi que le Code de valeurs et d’éthique du secteur public.

La Direction des ressources humaines est responsable de ce code, avec l’appui des Services juridiques.

1.4 Directives sur les conflits d’intérêts et l’après-mandat

Le Code de valeurs, d’éthique et de conduite professionnelle du BVG renferme des directives sur les conflits d’intérêts et l’après-mandat (voir la partie 1.3).

1.5 Plan d’audit interne fondé sur les risques

Le plan d’audit interne fondé sur les risques du BVG est défini tous les ans par l’Équipe de la revue des pratiques et de l’audit interne (l’Équipe de la RPAI). Le plan porte sur trois ans. Les risques de fraude sont considérés dans le cadre de ce processus, conformément aux normes de l’Institute of Internal Auditors. De plus, une évaluation des risques de fraude est réalisée lors de la planification de chaque mission d’audit interne.

1.6 Processus d’enquête sur les allégations de fraude

Le BVG a instauré un processus pour enquêter sur les allégations de fraude. La partie 4 du présent Guide décrit ce processus et présente les principaux protagonistes.

1.7 Politique de prévention de la fraude

L’Annexe D présente la Politique de prévention de la fraude du BVG.

Cette Politique comporte les objectifs suivants :

améliorer les connaissances et la sensibilisation de tous les employés du BVG sur les risques potentiels de fraude;
définir les responsabilités relatives à la prévention, à la détection et aux enquêtes en matière de fraude;
indiquer clairement que la fraude ne sera pas tolérée;
favoriser la promotion d’un milieu de travail ouvert et d’une culture d’entreprise où les employés se sentent libres de soulever des inquiétudes sans crainte de représailles.

Le dirigeant principal des finances est responsable de la Politique. Il doit notamment évaluer l’efficacité et la mise en œuvre de la Politique, avec l’aide du spécialiste interne en matière de fraude.

2. Évaluation des risques de fraude

2.1 Mener une évaluation des risques de fraude en intégrant des pratiques exemplaires

L’évaluation des risques de fraude est un processus qui permet aux organisations d’identifier et de contrer les vulnérabilités internes et externes à l’égard de la fraude. Au Bureau du vérificateur général du Canada (BVG), cette évaluation fait partie intégrante du processus annuel d’évaluation des risques d’entreprise, qui est un élément clé de l’exercice annuel de planification stratégique. L’évaluation des risques de fraude relève de la responsabilité du dirigeant principal des finances et du spécialiste interne en matière de fraude.

Le spécialiste interne en matière de fraude aide les chefs de services et les responsables des pratiques du Bureau à évaluer les risques. Il doit aussi revoir l’évaluation des risques de chaque service et pratique pour s’assurer que les principaux risques de fraude ont été correctement identifiés, évalués et traités, le cas échéant. Il évalue l’environnement de contrôle du BVG à l’égard des risques de fraude à l’aide du Tableau de bord de la prévention et de la détection de la fraude au BVG (voir l’Annexe C.2). Dans le cadre de ces procédures, le spécialiste interne en matière de fraude communique les résultats et les conclusions de ses travaux au dirigeant principal des finances, lequel confirme ensuite le caractère adéquat de l’évaluation des risques de fraude (voir l’Annexe C) et présente son rapport au Comité d’audit et au Conseil de direction.

Cette approche d’évaluation des risques de fraude au BVG intègre les pratiques exemplaires décrites aux parties 2.1.1 à 2.1.7 ci-dessous, qui s’inspirent du guide Managing the Business Risk of Fraud: A Practical Guide (publié par l’Institute of Internal Auditors, l’American Institute of Certified Public Accountants et l’Association of Certified fraud Examiners).

2.1.1 Identifier les risques de fraude sans tenir compte des contrôles (à savoir le risque inhérent)

La population des risques de fraude inhérents qui pourraient menacer le BVG est identifiée. Pour ce faire, tous les types de stratagèmes et scénarios de fraude sont pris en compte, tout comme les motifs, les pressions, les circonstances favorables à la fraude et les risques de fraude informatique propres à l’organisation.

2.1.2 Évaluer la probabilité et l’impact des risques de fraude identifiés

La probabilité relative et l’importance possible des risques de fraude identifiés sont évaluées en fonction des informations historiques accumulées, des stratagèmes de fraude connus et des discussions avec les personnes qui participent aux processus opérationnels.

2.1.3 Mettre en correspondance les contrôles qui atténuent les risques identifiés (prévention/détection)

Les risques et les stratagèmes de fraude sont mis en correspondance avec les contrôles pertinents.

2.1.4 Évaluer si les contrôles fonctionnent efficacement

Les contrôles pertinents sont évalués du point de vue de l’efficacité de leur conception et testés régulièrement, dans un intervalle de temps raisonnable, pour confirmer l’efficacité de leur fonctionnement et déterminer s’ils permettent de réduire les risques de fraude inhérents.

2.1.5 Évaluer les risques de fraude résiduels

Les risques de fraude résiduels sont identifiés en tenant compte des contrôles efficaces.

2.1.6 Selon le seuil de tolérance aux risques, répondre aux risques de fraude résiduels

En tenant compte de son seuil de tolérance face au risque de fraude, l’organisation définit la réponse aux risques de fraude, généralement sous la forme d’un plan d’action. La réponse devrait viser les risques de fraude résiduels et considérer l’équilibre coûts-avantages de la mise en place de contrôles ou de procédures particulières de détection de la fraude.

2.1.7 Examiner périodiquement l’évaluation des risques de fraude

L’évaluation des risques de fraude est passée en revue tous les ans au cours de l’exercice de planification stratégique et les résultats de cette revue sont communiqués dans le cadre de ce processus.

3. Contrôles de prévention et de détection de la fraude

Les contrôles de prévention et de détection de la fraude englobent les processus, procédures et activités visant à contrer les risques de fraude identifiés. Ces contrôles sont conçus et mis en œuvre pour réduire les risques de fraude.

Dans le cadre de son évaluation des risques de fraude annuelle, le Bureau du vérificateur général du Canada (BVG) identifie les contrôles particuliers qui réduisent les risques de fraude. La conception et la mise en œuvre de ces contrôles sont testées périodiquement. L’identification et les tests des contrôles sont une étape clé permettant de déterminer si les contrôles actuels sont suffisants et appropriés pour prévenir et détecter la fraude, et pour déclencher la prise de mesures correctives au besoin.

Les sections 3.1 et 3.2 présentent des exemples de contrôles de prévention et de détection de la fraude.

3.1 Prévention de la fraude

3.1.1 Une formation sur les valeurs, l’éthique et les conflits d’intérêts et une formation ciblée sur la fraude dispensées à temps

Tous les employés du BVG doivent suivre une formation sur les valeurs, l’éthique et les conflits d’intérêts dans un délai donné. Cela permet d’avoir une assurance que les employés comprennent le comportement éthique qui est attendu d’eux ainsi que les conflits d’intérêts potentiels et les menaces à l’indépendance qui pourraient les toucher. Le Code de valeurs, d’éthique et de conduite professionnelle du BVG est un des piliers du Cadre de gestion des risques de fraude. Cette formation obligatoire montre l’importance que la haute direction du BVG accorde à ces questions. À intervalles réguliers, le Bureau réévalue la formation obligatoire à la lumière de divers facteurs, dont les risques.

Le Groupe des services et les pratiques d’audit font connaître leurs besoins en matière de formation au spécialiste interne en matière de fraude. Ces besoins sont examinés, réévalués puis classés par ordre de priorité dans le cadre du Plan stratégique à l’égard de la fraude du BVG. Le spécialiste interne en matière de fraude communique ensuite ces besoins à l’équipe du Perfectionnement professionnel, qui coordonnera l’élaboration, la mise en œuvre et la prestation de cours ciblés sur la fraude.

3.1.2 Conflit d’intérêts : Atténuation des conflits d’intérêts

3.1.2.1 Gestion efficace des déclarations de conflits d’intérêts

Le BVG a instauré un processus exhaustif pour gérer la déclaration de conflits d’intérêts possibles et réels.

Les Ressources humaines assurent la gestion du processus annuel de déclaration confidentielle. Elles veillent à ce que tous les employés remplissent un formulaire de déclaration tous les ans.

Il incombe au spécialiste interne en valeurs et éthique d’évaluer les situations déclarées par les employés, notamment les conflits d’intérêts possibles ou les menaces à l’indépendance, dans le cadre du processus annuel de déclaration confidentielle ou de la confirmation de l’indépendance qui est requise pour chaque mission d’audit.

Pour ce qui est des déclarations confidentielles annuelles, le spécialiste interne en valeurs et éthique enregistre les situations où les employés ont déclaré des actifs, des passifs ou d’autres intérêts qui, selon lui, peuvent donner lieu à un conflit d’intérêts réel ou perçu. Ce registre contient aussi les cas où, en fonction des risques, un suivi de la mise en œuvre des mesures recommandées a été effectué. Le registre facilite la gestion des conflits d’intérêts et des menaces à l’indépendance ou à l’objectivité qui sont déclarées par le personnel du BVG.

Le spécialiste interne en valeurs et éthique passe en revue, approuve et enregistre tous les rapports d’exception remplis par le personnel d’audit et signés par le responsable de mission. Le registre tenu par le spécialiste interne contient des renseignements clés sur chaque exception signalée, notamment la date de déclaration de l’exception et la date à laquelle la direction du BVG et le spécialiste interne en valeurs et éthique ont accepté la stratégie d’atténuation établie.

3.1.2.2 Déclarations effectuées par les employés, qu’ils aient ou non un conflit d’intérêts

Chaque employé doit remplir une déclaration confidentielle annuelle afin d’indiquer s’il est ou pas dans une situation de conflit d’intérêts. Les Ressources humaines veillent à ce que tous les employés remplissent une déclaration dans les délais prescrits, puis elles présentent les résultats de leur suivi au Conseil de direction et au Comité d’audit. Les Ressources humaines transmettent les formulaires des employés qui ont déclaré un conflit d’intérêts réel ou perçu au spécialiste interne en valeurs et éthique pour qu’il les passe en revue, prenne les mesures ou fasse les suivis qui s’imposent.

En outre, tous les membres des équipes d’audit doivent remplir un formulaire de confirmation d’indépendance lorsqu’ils commencent une mission d’audit. Si un membre déclare l’existence d’une menace à son indépendance ou à son objectivité, un Rapport d’exception doit être rempli et des mesures d’atténuation doivent être élaborées en vue de ramener la menace à un niveau acceptable. Des revues des pratiques régulières permettent de contrôler l’efficacité du processus de confirmation de l’indépendance.

3.1.2.3 Normes de service pour donner suite aux conflits d’intérêts déclarés

Le BVG dispose de normes de service à l’intention du spécialiste interne en valeurs et éthique, qui prévoient une réponse en temps opportun aux déclarations de conflits d’intérêts et aux rapports d’exception. Les résultats obtenus par rapport à ces normes sont communiqués au Conseil de direction et au Comité d’audit par le spécialiste interne en valeurs et éthique.

3.1.2.4 Rapports

Tous les ans, le spécialiste interne en valeurs et éthique présente au Conseil de direction et au Comité d’audit un rapport sur les déclarations de conflits d’intérêts et sur les menaces à l’indépendance et à l’objectivité.

3.1.3 Contrôles conçus pour prévenir les activités frauduleuses

Le BVG, par le biais du dirigeant principal des finances et du contrôleur, maintient un système de contrôle interne fondé sur les risques à l’égard de la gestion financière. La conception et l’efficacité du fonctionnement de ces contrôles sont évaluées par rotation. Les travaux d’évaluation des contrôles sont réalisés par diverses parties clés, comme des auditeurs externes et le Service du contrôleur. De plus, l’Équipe de la revue des pratiques et de l’audit interne (RPAI) réalise des audits et considère les risques de fraude lors de l’établissement de ses plans d’audit fondés sur le risque.

Se reporter à l’Annexe C.2 pour des exemples de contrôles visant la prévention de la fraude.

3.2 Détection de la fraude

3.2.1 Mécanisme pour signaler de la fraude

Comme le prévoit la Politique de prévention de la fraude du BVG, le Bureau a instauré une politique de portes ouvertes pour le signalement des cas suspectés de fraude. La partie 4.1 du Guide décrit les modalités à suivre pour signaler un cas suspecté de fraude au BVG.

3.2.2 Contrôles conçus pour détecter les activités frauduleuses

Comme l’indique la partie 3.1.3 du Guide, le BVG maintient un système de contrôles internes fondé sur les risques à l’égard de la gestion financière. Dans le cadre de ce système, la Direction du contrôleur procède à des activités d’exploration et d’analyse des données.

Se reporter à l’Annexe C.2 pour des exemples de contrôles de détection de la fraude.

4. Enquêtes sur les allégations de fraude

Les dénonciations constituent la méthode la plus populaire de détection de la fraude, représentant près de 40 % des cas de fraude détectés. Les organisations doivent donc se doter d’une approche rigoureuse pour gérer les allégations de fraude, notamment celles qui font l’objet d’une dénonciation, et enquêter au besoin.

Le Bureau du vérificateur général du Canada (BVG) s’est doté d’un mécanisme pour solliciter et recevoir tout renseignement sur les cas potentiels de fraude et d’une approche formelle pour avoir l’assurance que les cas potentiels de fraude sont traités de manière appropriée et dans les meilleurs délais.

4.1 Mécanisme pour signaler de la fraude

Comme le prévoit la Politique de prévention de la fraude du BVG, tous les cas suspectés de fraude doivent être signalés immédiatement. Le BVG favorise une politique de portes ouvertes pour la communication des cas suspectés de fraude. Il a établi des moyens sûrs, confidentiels et sans représailles pour les personnes qui signalent des cas suspectés de fraude. Les employés du BVG peuvent signaler des cas suspectés de fraude à l’une ou l’autre des personnes suivantes :

agent de la sécurité ministérielle;
Services juridiques;
dirigeant principal des finances;
gestionnaires des ressources humaines;
spécialiste interne en valeurs et éthique;
dirigeant principal de l’audit interne;
agent supérieur chargé des divulgations;
vérificateur général;
président du Comité d’audit.

Le dirigeant principal des finances assure la coordination et l’application uniforme du mécanisme de signalement des cas suspectés de fraude à travers la politique de portes ouvertes.

4.2 Approche formelle pour traiter les allégations de fraude

Une approche formelle a été instaurée pour évaluer les allégations de fraude, enquêter, faire des suivis, prendre des mesures correctives et faire rapport sur celles-ci.

Le dirigeant principal des finances gère toutes les allégations de fraude et surveille les enquêtes, avec le concours d’autres personnes, s’il y a lieu. Il consulte, au besoin, l’agent de la sécurité ministérielle, les Services juridiques, les Ressources humaines, le spécialiste interne en matière de fraude et le spécialiste interne en valeurs et éthique. Il surveille la conformité à l’approche formelle.

Cette approche vise à permettre l’évaluation et la revue des allégations de fraude, l’enquête sur ces allégations (au besoin) et leur résolution sous le signe de la rapidité, de la compétence et de la confidentialité.

4.2.1 Évaluation des allégations de fraude

Le dirigeant principal des finances gère et évalue les allégations de fraude, avec l’appui d’autres personnes s’il y a lieu. Les allégations font l’objet de discussions de manière à protéger la confidentialité. Selon la gravité de l’allégation, d’autres services internes peuvent être consultés.

4.2.2 Enquête sur les allégations de fraude

Les allégations de fraude font l’objet d’une enquête, s’il y a lieu, conformément à la Politique sur les enquêtes en milieu de travail du BVG. Le dirigeant principal des finances agit à titre d’agent supérieur pour les enquêtes sur les cas de fraude comme le prévoit cette politique.

4.2.3 Surveillance des allégations de fraude

La surveillance des allégations de fraude passe par la tenue d’un registre des allégations qui contient suffisamment d’informations sur l’état du traitement des allégations et les résultats. De même, des informations appropriées et suffisantes sont consignées en dossier pour étayer l’évaluation des allégations sans fondement.

4.2.4 Mesures correctives

Des mesures correctives sont prises au besoin, notamment des sanctions disciplinaires.

L’approche formelle de traitement des allégations de fraude prévoit l’identification des causes profondes de la fraude en vue de détecter des situations similaires ailleurs dans l’organisation. Dans ces cas, le dirigeant principal des finances détermine s’il y a lieu de renforcer certains contrôles internes ou de réaménager certains processus opérationnels afin de réduire ou de supprimer la possibilité que des incidents similaires se reproduisent à l’avenir.

Le dirigeant principal des finances évalue l’incidence possible des mesures correctives et le message qu’elles pourraient envoyer aux employés, à la population, aux parties prenantes et à d’autres parties concernées.

Le dirigeant principal des finances surveille la mise en œuvre de mesures recommandées en vue de réduire de futurs incidents.

4.2.5 Rapport sur les allégations de fraude

Le dirigeant principal des finances présente un compte rendu au Conseil de direction et au Comité d’audit sur la gestion des allégations de fraude, notamment des informations clés sur l’état d’avancement des allégations et les résultats obtenus, le délai de règlement des allégations et la mise en œuvre des mesures correctives.

5. Amélioration continue du Cadre de gestion des risques de fraude

Vu la constante évolution de l’environnement dans lequel elle fonctionne, une organisation doit évaluer en continu son exposition aux risques de fraude et les mesures pour les contrer.

Le dirigeant principal des finances assure le suivi du Cadre de gestion des risques de fraude et apportent les améliorations qui s’imposent. Cette activité est menée en continu (voir l’Annexe B).

Le dirigeant principal des finances doit aussi déterminer si le Cadre de gestion des risques de fraude au Bureau du vérificateur général du Canada atteint ses objectifs et apporter les changements nécessaires. Ce processus est répété au moins tous les trois ans.

Les résultats de ces évaluations sont communiqués dans un rapport qui est présenté au Conseil de direction et au Comité d’audit.

Outils de gestion des risques de fraude

Les principaux outils de gestion des risques de fraude du Bureau du vérificateur général du Canada (BVG) sont présentés ci-après.

Annexe A : Rôles et responsabilités

Le tableau ci-dessous identifie les organes responsables en tant que chef de file (CF) ou soutien (S) de chacun des éléments clés du Cadre de gestion des risques de fraude au BVG. Il ne contient pas toutes les parties qui sont concernées par chaque élément ou qui pourraient l’être.

Partie	Éléments clés du Cadre	Comité d’auditCA	Dirigeant principal des financesDPF	Spécialiste interne en matière de fraudeSIF	Conseil de directionCD	Revue des pratiques et audit interneRPAI	DirectionDir.	Spécialiste interne en valeurs et éthiqueSIVE	Services juridiquesJur.	Ressources humainesRH	Perfectionnement professionnelPP
Légende ASM : Agent de la sécurité ministérielle CA : Comité d’audit CD : Conseil de direction Dir. : Direction DPF : Dirigeant principal des finances Jur. : Services juridiques PP : Perfectionnement professionnel RH : Ressources humaines RPAI : Revue des pratiques et audit interne SIF : Spécialiste interne en matière de fraude SIVE : Spécialiste interne en valeurs et éthique
1.	Gouvernance à l’égard des risques de fraude
1.1	Surveillance	chef de fileCF			CF
1.2	Spécialiste interne en valeurs et éthique							CF
1.3	Code de valeurs et d’éthique								soutienS	CF
1.4	Directives sur les conflits d’intérêts et l’après-mandat								S	CF
1.5	Plan d’audit interne fondé sur les risques					CF
1.6	Processus d’enquête sur les allégations de fraude		CF	S
1.7	Politique de prévention de la fraude (Annexe D)		CF	S					S
2.	Évaluation des risques de fraude		CF	S	S		S
3.	Contrôles de prévention et de détection de la fraude
3.1	Prévention de la fraude
3.1.1	Une formation sur les valeurs, l’éthique et les conflits d’intérêts et une formation ciblée sur la fraude dispensées à temps			S							CF
3.1.2	Conflit d’intérêts : Atténuation des conflits d’intérêts					S		CF		CF
3.1.3	Contrôles conçus pour prévenir les activités frauduleuses		CF	S		S	S			S
3.2	Détection de la fraude
3.2.1	Mécanisme pour signaler de la fraude (voir la partie 4.1)		CF
3.2.2	Contrôles conçus pour détecter les activités frauduleuses		CF	S		S	S			S
4.	Enquêtes sur les allégations de fraude
4.1	Mécanisme pour signaler de la fraude		CF
4.2	Approche formelle pour traiter les allégations de fraude		CF	S
5.	Amélioration continue du Cadre de gestion des risques de fraude		CF	S

Annexe B : Plan de travail de surveillance pour le spécialiste interne en matière de fraude

Le spécialiste interne en matière de fraude se sert de ce document comme plan de travail pour surveiller la mise en œuvre en bonne et due forme du Cadre de gestion des risques de fraude au BVG.

Le plan décrit :

les diverses étapes à suivre pour s’acquitter des responsabilités relatives au Cadre qui sont détaillées dans le présent Guide;
les personnes qui sont chargées de réaliser ces étapes;
le moment où le spécialiste interne fera un suivi.

Partie	Élément	Responsable	JanvierJ	FévrierF	MarsM	AvrilA	MaiM	JuinJ	JuilletJ	AôutA	SeptembreS	OctobreO	NovembreN	Au besoin/en continuAB/C
			Spécialiste interne en matière de fraude — Calendrier mensuel de suivi
Légende AB/C : Au besoin/en continu CA : Comité d’audit CD : Conseil de direction DPA : Dirigeant principal de l’audit interne DPF : Dirigeant principal des finances PP : Perfectionnement professionnel RH : Ressources humaines RPAI : Revue des pratiques et audit interne SIF : Spécialiste interne en matière de fraude SIVE : Spécialiste interne en valeurs et éthique
1.	Gouvernance à l’égard des risques de fraude
1.1	Surveillance
	Surveiller la mise en œuvre du Cadre de gestion des risques de fraude, notamment l’évaluation des risques de fraude	Comité d’auditCA	X
	Déterminer le seuil de tolérance au risque de fraude	Conseil de directionCD										X
	Discuter des risques de fraude et de l’évaluation des risques de fraude	CD											X
1.2	Spécialiste interne en valeurs et éthique
	Faire un rapport annuel sur les activités menées au Comité d’audit (en collaboration avec les RH)	Spécialiste interne en valeurs et éthiqueSIVE										X
1.3	Code de valeurs et d’éthique
	Voir à la revue du code de valeurs et d’éthique, selon les besoins	RH												X
1.4	Directives sur les conflits d’intérêts et l’après-mandat (voir la partie 1.3)	RH												X
1.5	Plan d’audit interne fondé sur les risques	Dirigeant principal de l’audit interneDPA					X
1.6	Processus d’enquête sur les allégations de fraude (voir la partie 4)	Dirigeant principal des financesDPF												X
1.7	Politique de prévention de la fraude (Annexe D)
	Évaluation périodique de l’efficacité et de la mise en œuvre de la Politique	DPF								X
	Revue de la Politique	DPF									X
2.	Évaluation des risques de fraude
2.1	Mener une évaluation des risques de fraude en intégrant des pratiques exemplaires
	Aider les chefs des services et les responsables des pratiques à procéder à l’évaluation des risques de fraude	DPF												X
	Revoir tous les ans les évaluations des risques de chaque service et pratique pour confirmer que les pratiques exemplaires ont été suivies, comme le prévoient les parties 2.1.1 à 2.1.7 du Guide	DPF								X
	Suivre l’état d’avancement de la mise en œuvre des plans d’action	DPF								X
	Évaluer l’environnement de contrôle du BVG à l’égard des risques de fraude à l’aide du Tableau de bord de la prévention et de la détection de la fraude (Annexe C.2)	DPF									X
	Regrouper les résultats de l’évaluation des risques de fraude et tirer une conclusion	DPF										X
	Confirmer le caractère adéquat de l’évaluation des risques de fraude du Bureau (Annexe C)	DPF										X
	Communiquer les résultats et les conclusions découlant de l’évaluation des risques de fraude au Conseil de direction	DPF										X
	Communiquer les résultats et les conclusions découlant de l’évaluation des risques de fraude au Comité d’audit	DPF	X
3.	Contrôles de prévention et de détection de la fraude
3.1	Prévention de la fraude
3.1.1	Une formation sur les valeurs, l’éthique et les conflits d’intérêts et une formation ciblée sur la fraude dispensées à temps
	Suivi de la participation dans les délais prescrits aux cours de formation obligatoires sur les valeurs, l’éthique et les conflits d’intérêts	Perfectionnement professionnelPP							X
	Communiquer les résultats au Conseil de direction	PP								X
	Communiquer les résultats au Comité d’audit	PP								X
	Réévaluer les besoins en matière de formation sur la fraude et les priorités dans le cadre de l’établissement du Plan stratégique à l’égard de la fraude	SIF					X
3.1.2	Conflit d’intérêts : Atténuation des conflits d’intérêts
3.1.2.1	Gestion efficace des déclarations de conflits d’intérêts
	Tenue d’un registre exhaustif	SIVE								X
3.1.2.2	Déclarations effectuées par les employés, qu’ils aient ou non un conflit d’intérêts
	Suivi des déclarations annuelles	RH								X
	Renvoi des cas, y compris les exceptions, au spécialiste interne en valeurs et éthique	RH												X
	Communication des résultats au Conseil de direction	RH										X
	Communication des résultats au Comité d’audit	RH										X
	Suivi des rapports d’exception	SIVE												X
	Suivi de la mise en œuvre efficace du processus de confirmation de l’indépendance (revue des pratiques)	Revue des pratiques et audit interneRPAI				X
3.1.2.3	Normes de service pour donner suite aux conflits d’intérêts déclarés
	Suivi et communication des résultats obtenus par rapport aux normes de service	SIVE										X
3.1.2.4	Rapports
	Présentation d’un rapport sur les déclarations de conflits d’intérêts et les menaces à l’indépendance et à l’objectivité au Conseil de direction	SIVE										X
	Présentation d’un rapport sur les déclarations de conflits d’intérêts et les menaces à l’indépendance et à l’objectivité au Comité d’audit	SIVE										X
3.1.3	Contrôles conçus pour prévenir les activités frauduleuses	DPF						X
	Réalisation de travaux d’évaluation des contrôles (contrôle interne sur l’information financière (CIIF))	DPF et contrôleur							X
	S’assurer que les audits internes comprennent des tests des contrôles	RPAI			X
3.2	Détection de la fraude
3.2.1	Mécanisme pour signaler de la fraude (voir la partie 4.1)
3.2.2	Contrôles conçus pour détecter les activités frauduleuses	DPF						X
	Réalisation de travaux d’évaluation des contrôles (CIIF)	DPF et contrôleur							X
	S’assurer que les audits internes comprennent des tests des contrôles	RPAI			X
	Surveillance effectuée grâce à l’analyse et à l’exploration des données	DPF et contrôleur								X
4.	Enquêtes sur les allégations de fraude
4.1	Mécanisme pour signaler de la fraude
	Réception des allégations grâce à la politique de portes ouvertes préconisée par la Politique de prévention de la fraude	DPF												X
	Coordination et suivi de la mise en œuvre uniforme du mécanisme de signalement de la fraude grâce à une politique de portes ouvertes	DPF		X
4.2	Approche formelle pour traiter les allégations de fraude
4.2.1	Évaluation des allégations de fraude
	Assurer la gestion des allégations de fraude	DPF												X
	Voir à l’évaluation des allégations de fraude et associer les principales parties prenantes, au besoin	DPF												X
	Veiller à ce que les principales parties prenantes, comme le spécialiste interne en matière de fraude, l’agent de la sécurité ministérielle, les Services juridiques, les Ressources humaines et le spécialiste internes en valeurs et éthique, participent au processus lorsque cela est nécessaire	DPF												X
4.2.2	Enquêtes sur les allégations de fraude
	Voir à ce que les enquêtes sur les allégations de fraude soient réalisées conformément à la Politique sur les enquêtes en milieu de travail	DPF												X
4.2.3	Surveillance des allégations de fraude
	Surveiller les allégations de fraude, notamment tenir un registre sur les allégations contenant suffisamment d’informations pour pouvoir faire le suivi de l’état d’avancement du traitement des allégations et des conclusions tirées. De même, conserver des informations suffisantes pour justifier l’évaluation des cas où les allégations ont été jugées non fondées	DPF												X
4.2.4	Mesures correctives
	Voir à ce que des mesures correctives soient prises lorsque cela est approprié (par exemple des mesures disciplinaires ou des améliorations aux contrôles internes ou aux processus en vue de réduire ou de supprimer la possibilité que des incidents similaires se répètent à l’avenir)	DPF												X
	Surveiller la mise en œuvre des mesures recommandées en vue d’atténuer tout incident futur	DPF												X
4.2.5	Rapport sur les allégations de fraude
	Faire rapport au Conseil de direction et au Comité d’audit sur la gestion des allégations de fraude	DPF												X
5.	Amélioration continue du Cadre de gestion des risques de fraude
	Surveiller le Cadre et y apporter les améliorations qui s’imposent	DPF/SIF									X
	Déterminer si le Cadre de gestion des risques de fraude atteint ses objectifs et y apporter les changements qui s’imposent	DPF/SIF									X
	Communiquer les résultats au Conseil de direction	DPF										X
	Communiquer les résultats au Comité d’audit	DPF	X

Annexe C : Attestation annuelle du caractère adéquat de l’évaluation des risques de fraude du Bureau

Cette attestation doit être faite tous les ans par le dirigeant principal des finances.

Contexte

Dans le cadre du processus annuel d’évaluation des risques, chaque gestionnaire supérieur responsable d’une direction :

confirme qu’il a identifié, examiné et évalué les risques stratégiques, de non-conformité et opérationnels (y compris les risques de fraude) de son secteur fonctionnel;
définit des stratégies d’atténuation pour les risques de fraude résiduels élevés et très élevés;
discute des risques et des stratégies d’atténuation de sa direction avec le vérificateur général adjoint responsable.

Dans le cadre de ce processus, le spécialiste interne en matière de fraude :

aide les chefs de services et les responsables des pratiques avec l’évaluation des risques de fraude;
examine le volet sur la fraude des évaluations des risques réalisées par les chefs de services et les responsables des pratiques pour avoir l’assurance que ce volet sur la fraude respecte les pratiques exemplaires et qu’il comprend les éléments clés;
discute des évaluations des risques de fraude avec les chefs de services et les responsables des pratiques, au besoin;
fait le suivi de l’état d’avancement de la mise en œuvre de stratégies d’atténuation.

Le spécialiste interne en matière de fraude évalue aussi l’environnement de contrôle du BVG en vue d’assurer la gestion des risques de fraude à l’aide du tableau de bord de la prévention et de la détection de la fraude (Annexe C.2).

Dans le cadre de ces procédures, le spécialiste interne en matière de fraude présente les résultats de ses travaux au dirigeant principal des finances, qui confirme alors le caractère adéquat de l’évaluation des risques de fraude du Bureau.

Énoncé d’attestation

À titre de spécialiste interne en matière de fraude, je confirme que j’ai examiné l’évaluation des risques effectuée par chacun des chefs de service et des responsables des pratiques pour m’assurer que les principaux risques de fraude avaient été correctement identifiés, évalués et traités, lorsque cela s’imposait. J’ai aussi évalué l’environnement de contrôle de la gestion des risques de fraude.

À titre de dirigeant principal des finances, je confirme le caractère adéquat de l’évaluation des risques de fraude du Bureau.

Principales observations et conclusion

1) Résultats des évaluations des risques de fraude :

2) Environnement de contrôle :

Signature
Spécialiste interne en matière de fraude

Date

Signature
Dirigeant principal des finances

Date

Annexe C1 : Évaluation détaillée et cumulative des risques de fraude

Cette évaluation détaillée et cumulative des risques de fraude étaye l’attestation annuelle du caractère adéquat de l’évaluation des risques de fraude du Bureau (Annexe C).

Tableur utilisé pour l’évaluation détaillée et cumulative des risques de fraude

Version textuelle

Ce classeur doit être rempli lors d’une évaluation détaillée et cumulative des risques de fraude. Il contient les colonnes suivantes :

Numéro du risque
Numéro du scénario
Type de stratagème
Fonction
Activités et processus principaux
Responsable fonctionnel
Énoncé original de risque de 2017
Lien avec les objectifs stratégiques
Description du scénario de risque de fraude
Probabilité du risque inhérent (faible, moyenne, élevée, très élevée)
Incidence du risque inhérent (faible, moyenne, élevée, très élevée)
Niveau de risque inhérent (normal à très élevé)
Contrôles préventifs
Contrôles de détection
Contrôles correctifs
Efficacité du contrôle évaluée
Niveau du risque résiduel (normal à très élevé)
Justification du niveau de risque résiduel
Tendance du risque résiduel par rapport à l’année précédente (stable, en hausse, en baisse)
Réponse au risque résiduel (accepter, éviter, atténuer ou partager)
Justification de la réponse au risque
Stratégie de réponse au risque résiduel (obligatoire pour les risques résiduels élevés ou très élevés)

Échelle à consulter au moment de remplir l’évaluation détaillée et cumulative des risques de fraude

Version textuelle

Ce tableau représente une échelle d’évaluation des risques à consulter au moment de remplir les quatre catégories de risque du modèle intitulé « Évaluation détaillée et cumulative des risques de fraude » : probabilité du risque inhérent, incidence du risque inhérent, niveau de risque inhérent et niveau du risque résiduel.

Le tableau indique les quatre niveaux de probabilité du risque suivants, dans un avenir prévisible, selon les probabilités ou la fréquence observée :

Très élevée (probable ou matérialisation fréquente)
Élevée (probable)
Moyenne (possible, matérialisation occasionnelle)
Faible (improbable, mais toujours possible)

Le tableau indique aussi les quatre niveaux d’incidence suivants, comme facteur de gravité potentielle, de portée et d’effets sur les activités du Bureau du vérificateur général du Canada :

Très élevée
Élevée
Moyenne
Faible

En plus, le tableau indique les six cotes de risque global, qui sont déterminés au point de rencontre de la probabilité et de l’incidence du risque :

Très importante : Mesures d’atténuation et surveillance (intervention intensive de la haute direction)
Importante : Mesures d’atténuation et surveillance (informer la haute direction)
Élevée à importante : Mesures d’atténuation et surveillance (informer la haute direction)
Élevée : Mesures d’atténuation et surveillance
Normale à élevée : Surveillance et mesures d’atténuation possibles
Normale : Acceptation

Voici les niveaux de risque généraux pour les 16 scénarios :

Lorsque la probabilité du risque est faible et que l’incidence du risque est très élevée, alors la cote du risque global est élevée.
Lorsque la probabilité du risque est faible et que son incidence est élevée, alors la cote du risque global est élevée.
Lorsque la probabilité du risque est faible et que son incidence est moyenne, alors la cote du risque global est normale à élevée.
Lorsque la probabilité du risque est faible et que son incidence est faible, alors la cote du risque global est normale.
Lorsque la probabilité du risque est moyenne et que son incidence est très élevée, alors la cote du risque global est importante.
Lorsque la probabilité du risque est moyenne et que son incidence est élevée, alors la cote du risque global est élevée à importante.
Lorsque la probabilité du risque est moyenne et que son incidence est moyenne, alors la cote du risque global est élevée.
Lorsque la probabilité du risque est moyenne et que son incidence est faible, alors la cote du risque global est normale à élevée.
Lorsque la probabilité du risque est élevée et que son incidence est très élevée, alors la cote du risque global est très importante.
Lorsque la probabilité du risque est élevée et que son incidence est élevée, alors la cote du risque global est importante.
Lorsque la probabilité du risque est élevée et que son incidence est moyenne, alors la cote du risque global est élevée à importante.
Lorsque la probabilité du risque est élevée et que son incidence est faible, alors la cote du risque global est élevée.
Lorsque la probabilité du risque est très élevée et que son incidence est très élevée, alors la cote du risque global est très importante.
Lorsque la probabilité du risque est très élevée et que son incidence est élevée, alors la cote du risque global est très importante.
Lorsque la probabilité du risque est très élevée et que son incidence est moyenne, alors la cote du risque global est importante.
Lorsque la probabilité du risque est très élevée et que son incidence est faible, alors la cote du risque global est élevée.

Annexe C2 : Tableau de bord de la prévention et de la détection de la fraude

Contexte

Cet outil appuie l’attestation annuelle du caractère adéquat de l’évaluation des risques de fraude du Bureau (Annexe C).

Il est fondé sur le guide Managing the Business Risk of Fraud : A Practical Guide (disponible en anglais seulement) de l’Institute of Internal Auditors, de l’American Institute of Certified Public Accountants et de l’Association of Certified Fraud Examiners. Il sert de guide pour évaluer l’environnement de contrôle du Bureau à l’égard des risques de fraude. Il doit être rempli par le spécialiste interne en matière de fraude, de concert avec les autres parties prenantes, dans le cadre de l’évaluation des risques de fraude annuelle.

Pour évaluer l’efficacité du système de prévention de la fraude de l’organisation, il faut évaluer soigneusement chaque secteur, facteur et élément d’appréciation selon le barème suivant :

Rouge : indique que le secteur, le facteur ou l’élément d’appréciation doit être considérablement renforcé et amélioré afin de ramener le risque de fraude à un niveau acceptable.

Jaune : indique que le secteur, le facteur ou l’élément d’appréciation doit être quelque peu renforcé et amélioré afin de ramener le risque de fraude à un niveau acceptable.

Vert : indique que le secteur, le facteur ou l’élément d’appréciation est solide et que le risque de fraude a été – à tout le moins – ramené à un niveau acceptable.

Pour chaque secteur, facteur ou élément d’appréciation qui a été noté « rouge » ou « jaune », il faut insérer des explications décrivant le plan d’action à suivre pour qu’il soit noté « vert » sur la prochaine fiche.

N^o	Secteur, facteur ou élément d’appréciation – Prévention de la fraude	Note	Explications	Mesures à prendre
P1	La culture de l’organisation – ton donné par la direction – est aussi vigoureuse que possible et crée un environnement où la fraude n’est pas tolérée (tolérance zéro).
P2	La haute direction de l’organisation fait systématiquement preuve d’une attitude appropriée à l’égard de la prévention de la fraude et encourage les échanges francs et ouverts sur le comportement éthique.
P3	Notre code de conduite prévoit des dispositions précises sur les relations inappropriées par lesquelles les membres du Conseil de direction ou de la direction pourraient abuser de leur autorité, dans le cadre de leurs fonctions, à des fins d’enrichissement personnel ou pour tout autre usage inapproprié, et il les interdit.
P4	Nous avons procédé à une évaluation des risques de fraude rigoureuse à l’aide du cadre Enterprise Risk Management Integrated Framework du COSO et pris des mesures particulières pour renforcer nos mécanismes de prévention, au besoin.
P5	Nous avons géré les forces et les faiblesses de notre environnement de contrôle interne et pris des mesures précises pour renforcer la structure des contrôles internes afin de contribuer à la prévention de la fraude.
P6	Nous avons harmonisé les pouvoirs et responsabilités à tous les échelons hiérarchiques de la gestion organisationnelle et nous n’avons eu connaissance d’aucun décalage susceptible de devenir un facteur de vulnérabilité à la fraude.
P7	Notre Comité d’audit a adopté une approche très proactive à l’égard de la prévention de la fraude.
P8	Les membres de notre Comité d’audit sont indépendants et certains possèdent des compétences en comptabilité et présentation d’information financière.
P9	Notre Comité d’audit se réunit au moins tous les trimestres et consacre une partie importante de son temps à l’évaluation des risques de fraude et à la mise en œuvre, de manière proactive, de mécanismes de prévention de la fraude.
P10	Nous avons une fonction d’audit interne efficace qui fonctionne de manière indépendante de la direction. La charte de notre fonction d’audit interne indique expressément que l’équipe d’audit interne contribuera à la prévention et à la détection de la fraude et des inconduites.
P11	Une personne dotée des pouvoirs et des attributions nécessaires a été nommée pour surveiller et maintenir nos programmes de prévention de la fraude. Cette personne s’est vu octroyer les ressources nécessaires pour gérer efficacement ces programmes. Cette personne peut communiquer directement avec le Comité d’audit.
P12	La fonction des Ressources humaines enquête sur les antécédents des candidats dans le but précis de s’assurer que les personnes ayant des antécédents inappropriés ou des traits de caractère qui ne cadrent pas avec la culture du Bureau et son code de déontologie sont identifiées et exclues du processus de dotation.
P13	Les compétences et l’intégrité du personnel qui participe au processus d’information financière ont été évaluées et il a été conclu que le personnel était de la plus grande valeur.
P14	Tous les employés, les fournisseurs et les entrepreneurs du Bureau ont été informés de la politique de tolérance zéro à l’égard de la fraude et connaissent les mesures appropriées qui doivent être prises s’ils ont connaissance d’indices de fraude éventuelle.
P15	Nous avons un programme rigoureux de diffusion de nos politiques et procédures de prévention de la fraude auprès de tous les employés, fournisseurs, entrepreneurs et partenaires.
P16	Nous avons des politiques et des procédures pour autoriser et approuver certains types de transactions et les transactions d’une certaine valeur afin de prévenir et de détecter les cas de fraude.
P17	Notre processus d’évaluation du rendement comporte un volet qui vise expressément l’éthique, l’intégrité et le respect du Code de valeurs et d’éthique du secteur public et du Code de valeurs, d’éthique et de conduite professionnelle du BVG.
P18	Nous avons un programme efficace de protection des lanceurs d’alerte et tous les employés, fournisseurs, entrepreneurs et partenaires du Bureau connaissent le programme et les procédures qui l’accompagnent.
P19	Nous passons en revue les mécanismes de prévention de la fraude décrits précédemment et nous documentons ces revues et les communications échangées avec le Comité d’audit sur les secteurs susceptibles d’être améliorés.
P20	Nous avons un plan de réponse à la fraude et savons quoi faire si une allégation de fraude est faite. Le plan indique : qui doit effectuer les enquêtes; comment réaliser les enquêtes; quand il convient de faire une divulgation volontaire au gouvernement; comment déterminer les mesures correctives; comment corriger les déficiences des contrôles signalées; comment gérer les mesures disciplinaires.

N^o	Secteur, facteur ou élément d’appréciation – Détection de la fraude	Note	Explications	Mesure à prendre
D1	Nous avons intégré notre système de détection de la fraude à notre système de prévention de la fraude, et ce, sous le signe de la rentabilité.
D2	Nos processus et techniques de détection de la fraude sont omniprésents à tous les échelons de notre organisation, du Comité d’audit aux gestionnaires de tous les niveaux, en passant par les employés des secteurs opérationnels.
D3	Nos politiques de détection de la fraude prévoient notamment d’informer les employés, les fournisseurs et les parties prenantes que le Bureau a un système efficace de détection de la fraude. Toutefois, certains éléments clés du système ne sont pas divulgués afin de préserver l’efficacité des contrôles cachés.
D4	Nous faisons respecter des périodes obligatoires de vacances ou affectons le personnel par rotation pour les employés responsables de contrôles financiers et comptables clés.
D5	Nous réévaluons périodiquement nos critères d’évaluation des risques à mesure que notre organisation prend de l’expansion et évolue afin d’avoir l’assurance que nous connaissons tous les types possibles de fraude.
D6	Nos mécanismes de détection de la fraude mettent un accent accru sur les secteurs pour lesquels nous avons conclu que les contrôles préventifs étaient faibles ou ne sont pas rentables.
D7	Nous effectuons l’analyse des données et les travaux d’audit en continu en tenant compte de l’évaluation de tous les types de stratagèmes de fraude qui pourraient menacer des organisations comme la nôtre.
D8	Nous prenons des mesures pour avoir l’assurance que la confidentialité de nos processus, procédures et techniques de détection est protégée afin que les employés — et les fraudeurs potentiels — ne sachent pas qu’ils existent.
D9	Nous tenons une documentation complète sur les processus, procédures et techniques de détection afin de rester à l’affût de la fraude en tout temps et lorsque l’équipe de détection de la fraude est remaniée.
D10	Nos contrôles de détection comprennent une ligne de signalement des cas de fraude bien connue et bien gérée.
D11	Notre ligne de signalement des cas de fraude préserve l’anonymat des personnes qui signalent des actes répréhensibles.
D12	Notre ligne de signalement des cas de fraude donne l’assurance aux employés qui signalent des actes répréhensibles qu’ils ne feront pas l’objet de représailles. Nous surveillons si des représailles ont été exercées après une dénonciation.
D13	Notre ligne de signalement des cas de fraude repose sur un système de gestion de dossiers qui permet d’enregistrer tous les appels reçus, les suivis réalisés et les mesures prises pour les traiter; elle est testée périodiquement par nos auditeurs internes et surveillée par le Comité d’audit.
D14	Les contrôles de nos systèmes informatiques/de nos processus de TI comportent des contrôles conçus expressément pour détecter les activités frauduleuses et les erreurs. Ils prévoient, entre autres, des rapprochements, des revues indépendantes, des inspections/inventaires physiques, des analyses, des audits et des enquêtes.
D15	La charte de notre fonction d’audit interne met l’accent sur la mise en œuvre de mesures visant à détecter la fraude.
D16	Nos auditeurs internes participent au processus d’évaluation des risques de fraude et planifient les activités de détection de la fraude définies en fonction des résultats de cette évaluation.
D17	Nos auditeurs internes font rapport au Comité d’audit et consacrent les ressources nécessaires à l’évaluation de la mise en œuvre de l’engagement pris par la direction à l’égard de la détection de la fraude.
D18	Notre équipe d’audit interne est dotée d’un budget et d’un personnel suffisants et a suivi la formation nécessaire pour respecter les normes professionnelles. Notre personnel d’audit interne possède les compétences appropriées pour appuyer l’atteinte des objectifs de la fonction.
D19	Notre fonction d’audit interne réalise des évaluations fondées sur les risques pour comprendre les motifs de la fraude et les secteurs susceptibles de faire l’objet d’une manipulation frauduleuse.
D20	Notre personnel d’audit interne connaît les outils et les techniques de détection de la fraude, de réponse et d’enquête et est formé sur ces sujets dans le cadre de son programme de formation continue.
D21	Nos programmes d’analyse des données ciblent les écritures de journal et les opérations inhabituelles, les opérations effectuées à la clôture de l’exercice et celles qui ont été effectuées au cours d’une période puis annulée au cours de la période suivante.
D22	Nos programmes d’analyse des données se concentrent sur les écritures de journal dans les comptes de produits ou de charges qui améliorent le résultat net ou permettent d’une autre façon de respecter les attentes des analystes ou les objectifs donnant lieu à une rémunération au rendement.
D23	Nous avons des systèmes conçus pour surveiller les écritures de journal afin de repérer des indices d’un contournement possible des contrôles par la direction en vue de fausser les informations financières.
D24	Nous utilisons l’analyse et l’exploration de données et les outils d’analyse numériques pour : a) identifier les relations cachées entre les personnes, les organisations et les événements; b) repérer les opérations suspectes; c) évaluer l’efficacité des contrôles internes; d) surveiller les menaces de fraude et les vulnérabilités; e) considérer et analyser des volumes importants d’opérations en temps réel.
D25	Nous avons recours à des techniques d’audit en continu pour repérer et communiquer les activités frauduleuses rapidement, notamment les analyses selon la loi de Benford pour examiner les rapports sur les charges, les comptes du grand livre général et les comptes de la paye en vue d’identifier les transactions ou montants inhabituels ou des schémas d’activité qui pourraient nécessiter des analyses plus poussées.
D26	Nous avons des systèmes pour surveiller les courriels des employés en vue de relever des indices de fraude possible.
D27	Notre documentation sur la détection de la fraude décrit les personnes et les services qui sont responsables de ce qui suit : la conception et la planification de l’ensemble des processus de détection de la fraude; la conception de contrôles particuliers de détection de la fraude; la mise en œuvre des contrôles particuliers de détection de la fraude; le suivi des contrôles particuliers de détection de la fraude et de l’ensemble du système de ces contrôles en vue de réaliser l’objectif du processus; la réception et le traitement des plaintes sur de possibles activités frauduleuses; l’établissement de rapports d’enquête sur les activités frauduleuses; la communication de renseignements sur les cas suspectés ou avérés de fraude aux parties compétentes; l’évaluation périodique et la mise à jour du plan des modifications à apporter aux technologies, aux processus et à l’organisation.
D28	Nous avons établi des critères d’évaluation pour surveiller et améliorer la conformité aux contrôles de détection de la fraude, notamment : le nombre de manœuvres frauduleuses connues qui ont été perpétrées contre l’organisation et les pertes qu’elles ont entraînées; le nombre d’allégations de fraude reçues par l’organisation qui ont fait l’objet d’une enquête et l’état d’avancement de leur traitement; le nombre d’enquêtes sur des cas de fraudes qui ont été réglés; le nombre d’employés qui ont signé l’énoncé sur les valeurs éthiques corporatives; le nombre d’employés qui ont suivi la formation obligatoire sur Bureau sur l’éthique; le nombre d’allégations faites par des lanceurs d’alerte reçues; le nombre de messages faisant la promotion d’un comportement éthique diffusés aux employés par les cadres supérieurs; le nombre de fournisseurs qui ont signé le formulaire sur la Code de valeurs, d’éthique et de conduite professionnelle du BVG; le nombre d’audits sur la fraude réalisés par les auditeurs internes.
D29	Nous évaluons périodiquement l’efficacité de nos processus, procédures et techniques de détection de la fraude; nous documentons les résultats de ces évaluations; nous révisons nos processus, procédures et techniques s’il y a lieu.

Annexe D : Politique de prévention de la fraude

1. Date d’entrée en vigueur

La Politique entre en vigueur est le 19 avril 2018.

2. Application

La présente Politique vise tous les cas allégués ou avérés de fraude qui impliquent des employés du Bureau du vérificateur général du Canada du Canada (BVG) ainsi que des experts-conseils, des fournisseurs, des entrepreneurs ou des tierces parties qui entretiennent des relations d’affaires avec le BVG. Toute enquête, le cas échéant, sera menée sans égard au nombre d’années de service ni au poste ou au titre de la personne suspectée ou de sa relation avec le BVG.

La fraude est définie comme étant un acte intentionnel commis par une ou plusieurs personnes parmi les employés, les membres de la direction, les responsables de la gouvernance (interne), ou des tiers (externe) impliquant le recours à des manœuvres trompeuses dans le but d’obtenir un avantage indu ou illégal. Il y a trois grandes catégories de fraude interne : la corruption, le détournement d’actifs et les états financiers mensongers.

Voici certains exemples de cas de fraude :

abus d’influence lors d’opérations pour en tirer profit;
détournement de fonds, de fournitures ou d’autres actifs;
irrégularité effectuée de manière intentionnelle lors du traitement ou de la communication de montants ou d’opérations financières;
divulgation de renseignements confidentiels ou exclusifs à des tiers à des fins d’enrichissement personnel;
acceptation ou sollicitation d’avantages matériels auprès d’entités auditées, d’entrepreneurs, de fournisseurs ou d’autres personnes fournissant des services ou des biens au BVG;
destruction, retrait ou utilisation inappropriée de dossiers, de mobiliers, d’accessoires et d’équipements;
acceptation de pots-de-vin ou d’avantages pour agir.

3. Énoncé de la Politique

Le BVG s’engage :

à instaurer un environnement de tolérance zéro à l’égard de la fraude;
à afficher systématiquement une attitude appropriée en matière de prévention de la fraude et à encourager les échanges ouverts et francs sur les comportements éthiques;
à maintenir une politique de portes ouvertes pour le signalement de cas suspectés de fraude.

Le BVG a défini un Cadre de gestion des risques de fraude complet qui oriente la mise en œuvre de pratiques exemplaires pour identifier, contrer et gérer les risques de fraude. La présente Politique fait partie intégrante du Cadre et est citée à la partie 1, « Gouvernance à l’égard des risques de fraude ».

4. Objectif de la Politique

La présente Politique a pour objectifs :

d’améliorer les connaissances et la sensibilisation de tous les employés du BVG à l’égard des risques potentiels de fraude;
de définir nos responsabilités relativement à la prévention, à la détection et à l’enquête en matière de fraude;
d’indiquer clairement que la fraude ne sera pas tolérée;
d’aider à promouvoir un climat d’ouverture et une culture où les employés sentent qu’ils peuvent communiquer leurs préoccupations sans crainte de représailles.

5. Rôles et responsabilités

Le vérificateur général s’est vu confier les responsabilités suivantes :

Selon l’alinéa 16.4 (1)b) de la Loi sur la gestion des finances publiques, les administrateurs généraux, à titre d’administrateurs des comptes, sont comptables devant les comités du Parlement des mesures prises pour que le ministère soit doté de mécanismes de contrôle interne efficaces.
La Politique sur la gestion financière du Conseil du Trésor exige que les administrateurs généraux veillent à l’établissement, à la surveillance et au maintien d’un système ministériel de contrôle interne de la gestion financière axé sur le risque, ce qui comprend la gestion des risques de fraude.
Selon l’article 16.1 de la Loi sur la gestion des finances publiques, l’administrateur général veille à la prise de mesures propres à assurer l’accomplissement, au sein du ministère, de la vérification interne répondant aux besoins de celui-ci. De plus, selon le paragraphe 4.1.2 de la Politique sur l’audit interne du Conseil du Trésor, l’administrateur général doit veiller à ce que l’audit interne soit effectué conformément au Cadre de référence international des pratiques professionnelles de l’Institute of Internal Auditors (CIPP). Ce cadre fait expressément référence au rôle de la fonction d’audit interne par rapport à la fraude.

Les responsabilités du dirigeant principal des finances sont les suivantes :

Pour appuyer les administrateurs généraux, la Politique sur la gestion financière du Conseil du Trésor exige ce qui suit des dirigeants principaux des finances :
- établir, surveiller et maintenir un système de contrôle interne de la gestion financière fondé sur le risque;
- fournir une assurance raisonnable que les ressources financières sont protégées contre les pertes matérielles;
- prendre rapidement des mesures correctives lorsque des lacunes concernant les contrôles et des risques importants n’ayant pas fait l’objet de mesures d’atténuation sont repérés, notamment les risques de fraude.
Le dirigeant principal des finances, en collaboration avec le spécialiste interne en matière de fraude, est chargé d’assurer l’application en bonne et due forme de la Politique de prévention de la fraude du BVG.

Responsabilité du dirigeant principal de l’audit

Aux termes du paragraphe 4.1.1 de la Directive sur l’audit interne du Conseil du Trésor, le dirigeant principal de l’audit est chargé d’appliquer le Cadre de référence international des pratiques professionnelles dans son organisation, notamment les normes sur la gestion de la fraude.

Responsabilités des gestionnaires

Chaque gestionnaire doit connaître les divers types de risque de fraude au sein de son secteur de responsabilité et rester à l’affût de tout indice de fraude.

Responsabilités des employés (y compris les gestionnaires)

signaler les cas suspectés de fraude rapidement et de manière appropriée;
connaître le Code de valeurs, d’éthique et de conduite professionnelle du BVG et s’y conformer;
agir de bonne foi et se fonder sur des motifs raisonnables lors du signalement d’allégations de fraude.

6. Mécanisme de signalement de la fraude

Tout cas suspecté de fraude doit être signalé immédiatement. Le BVG favorise une politique de portes ouvertes pour la communication des cas suspectés de fraude. Il a établi des moyens sûrs, confidentiels et sans représailles pour les personnes qui signalent des cas suspectés de fraude. Les employés du BVG peuvent signaler des cas suspectés de fraude à l’une ou l’autre des personnes suivantes :

agent de la sécurité ministérielle;
Services juridiques;
dirigeant principal des finances;
gestionnaires des ressources humaines;
spécialiste interne en valeurs et éthique;
dirigeant principal de l’audit interne;
agent supérieur chargé des divulgations;
vérificateur général;
président du Comité d’audit.

Le dirigeant principal des finances assure la gestion de toutes les allégations de fraude et supervise, le cas échéant, le processus d’enquête, avec le concours du spécialiste interne en matière de fraude. Le dirigeant principal des finances consulte, au besoin, l’agent de la sécurité ministérielle, les Services juridiques, les Ressources humaines et le spécialiste interne en valeurs et éthique.

La présente Politique n’empêche pas un employé de présenter une plainte à l’agent supérieur de l’intégrité, aux termes de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles.

7. Approche formelle pour traiter les allégations de fraude

Le BVG a défini une approche formelle pour évaluer les allégations de fraude, enquêter, surveiller, prendre les mesures correctives qui s’imposent et faire rapport à ce sujet. (Se reporter au Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada et à la Politique sur les enquêtes en milieu de travail du BVG pour obtenir des précisions.)

Le BVG prendra des mesures disciplinaires appropriées, pouvant aller jusqu’au renvoi, pour sanctionner une manœuvre frauduleuse. De plus, toutes les décisions relatives à la transmission des résultats d’une enquête aux autorités compétentes ou aux autorités réglementaires pour qu’elles puissent mener leurs propres enquêtes indépendantes seront prises par le dirigeant principal des finances, en collaboration avec les Services juridiques, la haute direction et les chefs des services concernés, tout comme les décisions définitives sur les mesures à prendre pour régler la question.

Une enquête sur une allégation de fraude menée aux termes de la présente Politique n’empêche aucunement la fonction de la revue des pratiques et de l’audit interne du BVG d’amorcer un audit.

8. Absence de représailles

L’employé qui porte plainte de bonne foi n’est pas passible de sanctions ni de mesures disciplinaires. Des mesures disciplinaires seront prises contre toute personne qui exerce des représailles contre une personne qui signale, en toute bonne foi, un cas allégué ou avéré de fraude.

9. Diffusion

La présente Politique sera publiée sur le site INTRAnet du BVG.

10. Respect et examen de la Politique

La conformité des employés du BVG à la présente Politique fera l’objet d’un suivi, y compris (mais pas uniquement), dans le cadre d’enquêtes, d’audits ou d’examens des dossiers.

Le dirigeant principal des finances, avec le concours du spécialiste interne en matière de fraude et après avons consulté les parties prenantes, examinera et actualisera la présente Politique au moins tous les trois ans ou avant, selon les besoins. Le Conseil de direction doit approuver tous les changements apportés à la Politique.

11. Demandes de renseignements

Les demandes de renseignements au sujet de la Politique doivent être adressées au dirigeant principal des finances ou au spécialiste interne en matière de fraude.

12. Références

Lois fédérales

Code criminel

Loi fédérale sur la responsabilité

Loi sur la gestion des finances publiques

Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles

Secrétariat du Conseil du Trésor du Canada

Directive sur l’audit interne

Directive sur la gestion des fonds publics et des comptes débiteurs

Politique sur la gestion financière

Politique sur la sécurité du gouvernement

Code de valeurs et d’éthique du secteur public

BVG

Code de valeurs, d’éthique et de conduite professionnelle du BVG

Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada

Politique sur les enquêtes en milieu de travail (en révision)